Hallo Gemeinde

Ich habe folgendes vor und dazu ein paar Fragen. Wäre schön, wenn ich Hilfe bekäme...

Vorhanden:
a) Internetanschluss (Cablecom) mit fixer IP
b) MacMiniServer 10.6.3 (wird neu aufgesetzt, da beim ersten Rumspielen doch schon einiges vermurkst wurde...)
c) 5 MacBooks(Pro) mit 10.6
d) TimeCapsule (TC) oder AirportExpress (AE)

Bisher:
a) AirportExpress hängt am Internet
b) Alle Macs gelangen über WLan daselbst
c) Keine (resp. sehr eingeschränkte) Vernetzung der Books

Neu:
a) Der MiniServer soll alle Dienste für die Macs bereitstellen.
b) Entweder der Mini oder die TimeCapsule (TC) hängt direkt am Internet-Anschluss
c) Der Mini dient als Alles-Server ausser eMail (vorerst)

Nun die Fragen:
1. Was ist sinnvoller/besser/sicherer:
a) Mini hängt direkt am Internet, TC wird über WLan eingebunden (resp. über einen zweiten Netzwerkanschluss mittels USB-to-Ethernet-Adapter von Apple) und alle Macs verbinden sich sowohl zum Mini als auch ins Internet über die TC oder
b) TC hängt direkt am Internet, Mini dahinter über RJ45, alle Macs gelangen weiterhin über WLan ins Netz und zusätzlich über WLan zum Mini (über TC? oder Mini direkt?)

2. Wie sind die TC und der Mini zu konfigurieren, damit die beiden genannten Möglichkeiten funktionieren?

3. Wie ist die Konfiguration vorzunehmen
a) des DNS
b) des OD
c) der User (falls es da Anpassungsbedarf gibt)
d) des VPN

Ich weiss, die Fragen gehen recht weit. Aber als langjähriger Mactechnewsler habe ich schon sehr oft kompetente und rasche Antworten gesehen, erhalten und auch gegeben. Deshalb erlaube ich mir, hier den ersten Anlauf zu nehmen. Ich habe sehr gute Kenntnisse des Client-OSX, den Server habe ich erst ein wenig erkundet. Die Fachbegriffe kenne ich oder ich kann mir deren Bedeutung aneignen. Ich bin also kein Neuling.

Wäre grossartig, wenn konkrete Antworten kämen. Übrigens: Google und Co. habe ich schon stundenlang durchforstet, schlüssige Antworten aber bisher nicht gefunden. Die Menge und Bandbreite ist zu gross. Z.Zt. lese ich OSX-Server for Dummies, vielleicht hilft's...

Danke und Gruss
camaso

Hat der Kabelrouter nur 1 Ethernet_Anschluss?

Ansonsten:
Mini und TC fixe IP-Adressen geben und den DHCP-Server des Routers, der WLAN bereit stellt, auch einen Adressbereich festlegen, der nicht mit den IPs der TC und des Mini konfligiert.

Uih,
nach den Vorgaben würde ich Version 1 b.) nehmen, TC am Internet, dient als Router (W-Lan und Netzwerkplatte) dann den Mini via RJ45-Ethernet, ist schnell genug (Gigabit-Lan).

USB-Ethernet würde ich nicht nehmen, da Du Dir dort wohl einen "Flaschenhals" einbaust.

Was die Konfiguration des Mini-Servers angeht, kann ich nichts dazu sagen, da ich selbst kein OSX-Server getestet habe.

Die Clients benötige keine besondere Konfiguration, ausser W-LAN Zugang und Verschlüsselung.
Via Bonjour sehen sich auch alle Books im Netzwerk.
(Ggf. manuelle IP-Adressen vergeben um feste Zuordnungen sicherzustellen.)
TC- LAN 192.168.1.1 (WAN wird vom I-Net-Modem/Provider vergeben)
Mini 192.168.1.100
und die Clients aufsteigend..
101...102...103...

achso, DNS natürlich die IP der TC (LAN), die DNS-Adressen fürs I.Net erhält die TC vom Provider selbst.
Oder Du verwendest den DNS-Server im Mini-Server (falls der sowas bietet), dann die IP vom Mini angeben.

Für eine OD muss DNS am mini laufen.

Das ist so nicht richtig, ich betreibe selber einen Mac Mini Server 10.6.3 mit Open Directory Master und habe keinen DNS auf dem Server laufen, sondern einfach meinen Router als DNS Server eingetragen..... ist ja auch nicht nötig für kleinere Gruppen. Außerdem kann man mit DNS sehr leicht vieles falsch machen........

Zu deiner Fragestellung würde ich auch eher zu B tendieren,

-Der OD ist als OD-Master einzurichten

-Die Benutzer sind als Netzwerkbenutzer (Knotenpunkt: LDAPv3/127.0.0.1) hinzuzufügen....... via Arbeitsgruppenmanager und nicht lokal auf dem Server.


Zu VPN, da du ja eine feste IP hast entfällt ein DynDNS Account;

Über Server Admin, den Dienst hinzufügen

Unter Einstellungen L2TP über IPsec aktivieren und als Adressbereich natürlich IP's angeben die nicht vom DHCP genutz werden

Unter PPP-Identifizierung MS-CHAPv2 auswählen

IPSec-Identifikation Schlüssel festlegen

VPN Dienst starten.

Anschließend den Benutzern erlauben VPN zu benutzen.

Im Programm Servereinstellungen kannst du dir nun bei VPN die VPN-Client-Konfigurationsdatei laden, und auf den Laptops installieren.

Dort muss du dann nur noch den Benutzer mit Kennworrt und die IP deines Serves angeben.

Falls du hinter einer Firewall sitz sind diese Ports freizugeben und auf den Server zu leiten:

1701, 192, 500, 4500, (alle UDP) 1723 (TCP falls du Verbindungen über PPTP zulässt) und die Protokolle ESP und GRE

hoffe ich konnte helfen

Danke für eure Tips.

Esäk
Der "Kabelrouter" ist eine Steckdose an der Wand. Konkret: Er steht im Serverraum des Hauses (Bürosammlung für mehrere Unternehmen mit gemeinsamer Infrastruktur).

rene204:
Diese Einstellungen sehen plausibel aus. Wie ist es dann mit der externen Verfügbarkeit von iCal, Adressbuch, Daylite (CRM-Software) etc.? Geht das über VPN?

@@jogoto:
Wenn DNS am Mini läuft, geht dann das Setting von rene204 noch? Oder muss ich dann gem. Variante 1a verfahren?jogoto hat neuere Informationen gepostet, während ich dies schrieb.

jogoto resp. silver2k
Ich war bisher auch der Ansicht, dass OD zwingend DNS voraussetzt. Wie sehen denn bei Dir (jogoto) die DNS-Einstellungen aus? Kannst Du ev. einen Screenshot zeigen/schicken?

Genau Aussagen dazu kann ich nicht machen (da ich dazu keine Erfahrungswerte habe), dennoch sollte es gehen, denn der Mini befindet sich ja, wie die Clients, im gleichen Netz, der Zugriff über den Router (wenn Du die entsprechenden Ports freigegeben hast) sollte so möglich sein.
(siehe silver2k)

silver2k

Da man am DNS fast nichts einstellen kann, kann man auch nichts falsch machen.


camaso

Ich hab noch 10.5
Außer dem Namen (server.domäne.privat) muss man eigentlich nichts angeben. Wenn danach auch die Rückwärtsauflösung funktioniert, ist alles klar.

jogoto
"fast nichts"? Im SL-Server gibt's da doch einige Reiter und Einstellungsfelder...

Der Name muss ...privat sein? Soll ich da nicht unsere offizielle Domain reinschreiben?

silver:
mag sein, aber nachdem:für mich webservices (blog?, wiki?) mit einschließen wird man nicht um einen korrekten dns herumkommen.

camaso:
für dns und mail solltest du Dir eine EDV-Firma leisten, diese Services (und was an ihnen dranhängt: Spamfilter, Virenscanner, ...) sind einfach viel zu wichtig um an ihnen im laufenden Betrieb zu lernen - ich hab meinen dns am macserver über die console konfiguriert, da der ServerAdmin (meiner Meinung nach) nicht alle Möglichkeiten bietet.
das kann ich mir zu Punkt 3 fast nicht vorstellen, weil alle wichtigen Dokumente zur Konfiguration auf der Apple-Seite zu finden sind:

allgemeine Supportseite für MacOS Server:


OD:


USER:


FILESERVER:


WIKI-SERVER:


achja nochwas:
man hängt niemals, niemals, niemals, niemals, niemals, niemals, niemals, ...., einen Server DIREKT ans Netz - das fällt unter grob fahrlässigen Unfug. Wenn dir eine kleine Firewall zu teuer ist, dann lass die Finger von: "ich hab meinen eigenen Server in der Firma" und mach eine kleine Lösung mit NAS, auf dem alle Daten liegen und hoste Web, Mail, Wiki und den Rest auswärts bei einem Provider.
Und mit Firewall meine ich eine richtige wie z.b. eine Fortigate - und nur dann wenn die EDV-Firma, die das liefert und konfiguriert auch das passende Equipment in deren Firma stehen hat, mit dem alles analysiert, überwacht und gewartet werden kann.

so: das war mein Senf zu diesem Thema

hoffe, das hilft Dir ein wenig,
mfg
der Fish

Richard Fish
Danke auch Dir. Dein Vorschlag ist sicher richtig, schiesst aber in unserem Fall HEUTE noch über das Ziel hinaus. Die Perspektive in vielleicht 2 Jahren geht natürlich in diese Richtung.
Dass Apple diese Dokumente bereitstellt, habe ich natürlich schon herausgefunden, teilweise auch gelesen oder bin noch dran. Da ich aber eben nicht ganz so hoch greifen will, suche ich nach einer einfachen Lösung, die sozusagen out of the box funktioniert - ganz nach Apples Versprechungen (mir ist schon klar, dass sie da etwas übertreiben). Dennoch: Einfach und ohne grosse Ansprüche: Für Mail bleiben wir beim Provider und imappen oder popen bloss. Virenscanner überlassen wir den noch nicht Geswitchten (bitte jetzt keine Polemik oder Belehrungen...). Extern erreichbar müssen vorläufig gewisse Daten, iCal, Adressbuch und eben Daylite sein.
Den grobfahrlässigen Unfug wollte ich eben vermeiden, indem ich die TC dazwischen schalte. Muss dann die IP der TC als DNS im Mini eingetragen werden, damit für die User dann alle Dienste und Daten erreichbar werden?

camaso:
ich weiss ja nicht in welcher branche Du bist (ist auch nicht so wichtig), aber rechne Dir mal über die nächste Zeit aus, wie viele Stunden Du (oder ein Mitarbeiter) damit verbringen, alles einzurichten/nachzubessern/nachzulesen/usw.usf.
Und dann lass Dir ein Angebot legen, von 2,3 Firmen die das beinhalten, was Du gerne hättest - ich glaub ja, die Firma kommt Dir billiger, als es selbst zu machen.
ja - sie ist ja dann dein "router"

wenn du mir in einer PM auf mtn Deine email-adresse hinterlassen magst (kann auch eine sein, die nicht auf Dich als Person oder Firma schließen lässt wie etwa: MisterX@gmail.com oder hans-im-glueck@gmx.de) dann such ich Dir ein paar pdfs raus, die ich mir mal zusammengesucht habe und Dir vielleicht helfen können.

lg,
der fish

Hast Du meine PN erhalten?

ja - ich schick dir die pdfs mit info morgen
lg